Última actualización: 27 octubre, 2022
El Dropper es un virus troyano que contiene un archivo ejecutable (.exe, .msi, .docm, etc.). Los troyanos son programas que parecen inofensivos pero que cuando se instalan se comportan como un malware. El dropper se activará cuando reciba la orden para descargar el malware que infectará la máquina. Por eso, se le suele llamar “el malware que precipita el malware“.
Los droppers normalmente se ubican en carpetas de una computadora para evitar ser detectados. De este modo se hacen pasar por programas o tipos de archivos válidos. Para actuar pueden requerir la ejecución del usuario, pero también pueden se ejecutar mediante la explotación de una vulnerabilidad de seguridad.
Quizá te interese: “Ataques cibernéticos: causas, tipos y consecuencias”.
¿Existen diferentes tipos de Droppers?
Si, y no hay dos que se comporten igual. Ahí radica la dificultad principal para detectarlos. Se clasifican según:
- Su persistencia:
- Persistente: Realizan modificaciones en el registro del equipo infectado. No son detectados por los sistemas y no dejan rastros de las modificaciones que realizan, permitiendo que el malware se siga descargando en el equipo.
- No persistente: Luego de descargar el payload (datos útiles) en segundo plano se auto eliminan.
- El diseño:
- Single-stage: Es cuando la carga maliciosa dentro del dropper tiene como único fin evitar ser detectada por los software que escanean el equipo en busca de malware.
- Two-stage: El dropper logra evadir el software de detección de malware e incluye la función de downloader; es decir que espera estar activo dentro de la máquina de la víctima para descargar el payload. Es importante tener presente que los dropper de dos etapas pueden tener embebidos uno o más droppers o incluso un downloader (tipo de troyano cuya única funcionalidad es descargar una o más amenazas informáticas).
- La interacción con el usuario
- Sin interacción: Ingresan al sistema mediante la explotación de alguna vulnerabilidad en el sistema.
- Con interacción: Convencen al usuario de que se trata de un programa legítimo o benigno (troyano), solicitando de esta manera permisos.
¿Cuáles son las fuentes de Infección?
Las fuentes son variadas, algunas son obvias y fáciles de evitar, como un archivo adjunto a correos electrónicos no deseados. Otras son más sigilosas, como las descargas no autorizadas e invitan a los droppers a ingresar a un sistema simplemente visitando un sitio web infectado:
- Adjuntos en correos no deseado en formato ZIP, PDF o archivos del paquete office (Excel o Word).
- Aplicaciones descargadas desde tiendas no oficiales o cracks de software (parche creado sin autorización del fabricante para modificar el comportamiento de un software original).
- Unidades USB u otro tipo de dispositivo previamente infectado.
- Realizar clic en mensajes o notificaciones falsas.
- Sitios web que fueron previamente comprometidos con malware.
- Usar un proxy de internet infectado
Quizá te interese: “¿Qué es el ransomware y cómo evitarlo?”.
¿Qué medidas de seguridad existen para evitar su infección?
- Mantener actualizado el sistema operativo y los programas instalados en el equipo a la última versión disponible. Es fundamental que instalemos siempre los parches de seguridad disponibles por el fabricante.
- No abrir archivos adjuntos que parezcan sospechosos sin haberlos escaneado previamente con un antimalware.
- Utilizar una solución anitmalware en el dispositivo y mantenerla actualizada.
- Realizar copias de seguridad de forma periódica de toda la información que se considere importante.
- Instalar programas que son descargados únicamente de fuentes confiables.
Por último, la medida de seguridad más importante es el sentido común ya que muchos de los ciberataques llegan después de errores que cometemos. Por lo cual es muy importante que te mantengas atento para no comprometer tu información personal ni la de la empresa.
